S'abonner Se connecter
Journal d'investigation en ligne
Dossier
Technos
par Sam Han

Ransomware #5 : guerre civile dans l'underground cybercriminel

Pourquoi Poutine a raté sa cyber-guerre contre l'Ukraine

Autrefois meilleurs alliés, désormais pires ennemis. La guerre en Ukraine a créé un schisme entre pirates ukrainiens et russes. Analyse de leur affrontement feutré, occasion en or de découvrir quelques petites mains de la cybercriminalité. Selon leurs propres mots, à prendre avec des pincettes.

En janvier 2024, Blackjack, un groupe de pirates possiblement en lien avec l'espionnage ukrainien, parviennent à dérober les plans de construction de 500 sites militaires dont des bases aériennes, des sites de défense aérienne, des arsenaux.
Vous lisez un article réservé aux abonnés.

Le hacker Baasterlord semble de son propre aveu être né dans les convulsions de la guerre du Dombass. Nous sommes probablement à la fin de l'année 2019, dans la république séparatiste de Lougansk, dans l'Est de l'Ukraine. Un jeune homme sort précipitamment de chez lui et arrête la voiture d'un voisin qui passe par là : « Aidez-moi, je vous donnerai ce que vous voudrez, mais emmenez ma mère à l'hôpital. Elle a eu une attaque ! ». La ville est plongée dans l'obscurité due aux coupures intempestives de courant. Alors qu'il revient chez lui, quelques heures plus tard, il réalise que ses petits boulots d'informaticien freelance et veilleur de nuit ne lui permettront pas de payer les médicaments dont sa mère a besoin. Baasterlord doit avoir 23 ans. Au-dessus de lui, dans la nuit, volent des avions de chasse.

Il va alors prendre son ordinateur et se connecter sur le forum de l'underground russe « XSS.in » pour y déposer un CV. Contacté par un hacker du nom de Lalartu, il intègre son équipe d'affiliés : la « National Hazard Agency ». Lalartu, qui le prend sous son aile, s'avèrera faire partie du gang REvil. En juin 2020, lors du « Défi de l'été » sponsorisé par le groupe Lockbit, Baasterlord soumet un rapport sur les techniques de spam, sa spécialité. En 2021, il publie un « Manuel de hacking » suivi d'une deuxième version payante, en dix exemplaires, contenant des portes dérobées chez quelques victimes. Sur un forum, il publie alors : « Coïncidence marrante, il y a deux jours, des roquettes HIMARS ont touché la maison d'un de mes employés ! Merci Oncle Sam ». Mais Baasterlord a un peu trop attiré l'attention et va prétendre se ranger. Interviewé, il dit être sujet à des attaques de paniques. Autour de lui, la guerre fait rage : « Il y a quelques jours, trois roquettes HIMARS ont touché le centre-ville ».

Le quotidien de Bassterlord, vendre sur les forums underground des points d'accès qu'il a glané grâce à ses talents de spammer.
Le quotidien de Bassterlord, vendre sur les forums underground des points d'accès qu'il a glané grâce à ses talents de spammer.

Cyber-résiliences ukrainiennes

De l'autre côté de la ligne de front, un autre hacker voit sa trajectoire de vie bouleversée par le conflit. Dans les années 90 et 2000, Hermit1 suit l'évolution des malwares en archivant leurs versions sur un site nommé VX Heaven. « En 2012, mon projet attira l'attention des services du SBU (services secrets ukrainiens), nouvellement créés. Ils s'attendaient à me recruter pour mieux comprendre la communauté hacker. Après mon refus catégorique, ils ont monté un dossier contre moi, sous une loi concernant la propagation de virus. Mais tout ne s'est pas passé comme ils l'espéraient et ils ont eu un bon petit scandale ».

Hermit1 se défend devant la justice, obtient des soutiens et les charges contre lui sont abandonnées.

En 2014, éclate la révolution de Maïdan, suivie par l'annexion de la Crimée et l'invasion du Dombass. « Les services de renseignement ukrainiens avaient une préparation proche de zéro, autant pour l'attaque que pour la défense et se sont tournés vers le secteur privé, dont Tim "Jeff" Karpinsky et moi. Malgré nos désaccords passés, nous avons décidé d'aider un peu notre état ».

Hermit1 s'attelle à son clavier et obtient des premiers succès : la boite mail d'Alexei Karyakin, membre de la république populaire du Lougansk, recherché pour trahison, ou la Douma, le Parlement russe. En 2015, le groupe RUH8 est créé : « J'ai écrit une introduction "old school" sur la page d'accueil, parodiant les anciens groupes de hackers. [...]. Dans ce texte, je m'y nomme "attaché de presse", cela me semblait drôle. Mais après ces deux hacks, il est devenu simplement nécessaire d'expliquer qui nous sommes et ce que nous faisons ». En 2016, RUH8 rejoint les groupes FalconFlames, Trinity et CyberJunta pour former la « Ukrainian Cyber Alliance ».

George Dubynski du ministère ukrainien de la transformation numérique, se trouve à Washington fin 2021. Il tente de persuader ses interlocuteurs de la « Cyber National Mission Force » de déployer, en urgence, ses équipes avancées de chasse en Ukraine. Depuis octobre, il observe des signes inquiétants. « Nous avons observé des comportements inhabituels, les hackers changeaient leurs pseudos et quittaient leurs fils de discussion habituels. C'était les premiers signes de l'attaque à venir. Nous l'avons tous constaté, la Russie a commencé l'invasion cyber avant l'invasion kinétique. » « Malheureusement, les russes connaissaient l'architecture de nos systèmes et les équipements qui étaient installés parce que la plupart avaient été installés durant l'époque soviétique ».

Les équipes américaines débarquent en Ukraine courant décembre et déploient leurs kits de chasse, valises informatisées dédiées à la traque de malware. Très vite, elles observent les premières attaques par « wiper », destinées à effacer les systèmes cibles. La mission s'installe et un coup de fil plus tard, Washington dépêche des renforts sur le terrain.

Au bout de quelques semaines, ils parviennent à capturer un de ces « wiper » de systèmes industriels. Un opérateur américain témoigne : « C'est la première fois que je découvrais quelque chose d'aussi complexe en liberté ». Un tout jeune malware, nommé à l'occasion Industroyer2. Munis des nouveaux indicateurs permettant de le détecter, les équipes nettoient les réseaux critiques ukrainiens, découvrant plus de 90 souches virales différentes. Alors que les semaines avancent, l'opération semble porter ses fruits. Quelques attaques réussissent, mais la plupart sont déjouées. George Dubynski raconte : « Les forces russes espéraient aller jusqu'à Kiev, mais cela n'est pas arrivé. Cela a été pareil avec les cyberattaques, elles n'ont pas eu les effets sur lesquels ils comptaient ».

Quelques captures issues de la chasse au malware, avec en tache de fond l’infâme "Sandworm", un des groupes de hackers du renseignement militaire russe. - CERT-UA, WeLiveSecurity, Mandiant
Quelques captures issues de la chasse au malware, avec en tache de fond l’infâme "Sandworm", un des groupes de hackers du renseignement militaire russe. - CERT-UA, WeLiveSecurity, Mandiant

La scène ransomware prend une balle perdue

Les hostilités ont été déclarées il y a quatre jours. Danylo, chercheur en cybersécurité, a passé sa journée à naviguer entre les checkpoints à Kiev à la recherche de cigarettes. Non loin de chez lui est tombé un missile russe. Lorsqu'il apprend que le groupe de ransomware Conti a déclaré son soutien au gouvernement russe, il voit rouge. Rentré chez lui, il crée un compte anonyme sur Twitter, « pour leur prouver que ce sont des mother fu**ers ». Danylo a piraté le cybergang en 2016 et renseignait depuis les autorités ukrainiennes : « Parfois, ils font des erreurs. Vous devez les avoir à ce moment-là. J'étais juste au bon endroit, au bon moment, je les surveillais ». Pendant un mois, le compte Twitter va divulguer les discussions internes de groupe, les « ContiLeaks », une fenêtre rare sur un des plus gros gangs ransomware proche de l'État russe. Le compte ne cessera d'émettre que lorsqu'un agent de FBI sera venu poliment demander à Danylo d'arrêter. Le gang Conti se dissoudra quelque temps plus tard, ayant un peu trop attiré les projecteurs sur lui.

En aout 2022, RecordedFuture enregistre l'interview du hacker Wazawaka. Quelques mois plus tôt, un chercheur a révélé son nom en suivant sa piste numérique. Le pirate pratique la vente d'accès, trouvant les premiers points d'entrée dans des réseaux avant de les vendre à des gangs qui prennent le relais.

À la question du journaliste sur les effets de la guerre en Ukraine, il répond : « Je ne l'appellerais pas guerre en Ukraine, mais opération spéciale militaire. J'espère que vous comprenez. J'avais de nombreux amis en Ukraine, maintenant, seulement un ou deux me répondent. Ils disent que je suis un occupant. » « Depuis le début de l'opération spéciale, presque tout le monde refuse de nous payer. Je rencontre souvent des cibles qui m'ont écrit : «Vous êtes des occupants russes, soyeux heureux avec 10k dollars. Vous n'aurez rien de plus» ». Mais il y a des bons côtés. « Avant l'opération spéciale, la Russie avait commencé à coopérer discrètement avec les USA sur le cybercrime. J'étais effrayé. […] Et quand l'opération a commencé, j'ai commencé à ressentir de la joie, vous savez, de l'impunité. Sans cette opération, je ne me comporterais pas comme je me comporte aujourd'hui. J'en ai même un peu honte. »

Quelques jours après le soutien proclamé de Conti à l'état Russe, LockbittSupp, à la tête du gang Lockbit a publié en réponse : « Pour nous, il ne s'agit que de business, nous sommes apolitiques. Nous sommes seulement intéressés par l'argent pour notre travail inoffensif et utile ».

Dans un interview, il témoigne : « J'observe qu'entre 1 et 20% des affiliés sont partis dans d'autres pays pour éviter la mobilisation. Le FBI a des belles opportunités ». George Dubynski, du Ministère de la Transformation Digitale Ukrainien, est du même avis. « La Russie a un problème de fuite des cerveaux. Les meilleurs hackers ont disparu. Beaucoup ont juste quitté la Russie, les autres se distancient de ce que le gouvernement fait. La créativité aime la liberté et la Russie n'aime pas la liberté. La créativité est l'arme secrète de l'Ukraine ».

Hermit1, l'attaché de presse de l'Ukrainian Cyber Alliance commente : « Je suis content qu'un grand nombre de black hats russes essayent encore de rester à l'écart de la politique et continuent leur «Business as Usual» ».

Wazawaka est connu pour être une des développeur et administrateur de la souche ransomware Babuk - FBI
Wazawaka est connu pour être une des développeur et administrateur de la souche ransomware Babuk - FBI

La cyber-guerre, ça fait des cyber-morts

Un an et demi après le déclenchement de l'invasion et de la guerre chaude, une analyse commandée par le Parlement européen essaye de tirer des premières conclusions sur l'utilisation du cyber dans la guerre moderne. Extraits choisis :

« Les attaques observées n'ont pas été innovantes par rapport aux technologies et méthodes employées, mais le nombre d'attaques, la diversité des attaquants et le ciblage des infrastructures critiques est cause d'alarmes. Les cyberattaques sont maintenant un type d'opération militaire et sont coordonnées ou synchronisées avec les opérations kinétiques. » « Les cyberattaques disruptives ont mené à des interruptions des réseaux de communication, un accès limité à la monnaie, aux médias, et ont pu dans le passé mener à des interruptions d'électricité, de chauffage ou d'eau. Par exemple, l'attaque du 28 mars 2022, sur UkrTelecom a mené à une baisse de connectivité de 13% du niveau avant la guerre ou celle contre le réseau satellite Viasat a résulté en une interruption d'internet pour plus de deux semaines. »

James Lewis, directeur de programme sur les technologies stratégiques du « Center for Strategic & International Studies » affirme de son côté :

« Je vais peut-être offenser la communauté cyber en disant cela mais les cyberattaques sont surestimées. Si elles sont inestimables pour l'espionnage et le crime, elles sont loin d'être décisive dans un conflit armé. Personne n'a jamais été tué par une cyberattaque et il y a très peu d'exemples de dommages tangibles. Il faut de réels efforts pour qu’une cyberattaque soit plus qu’un simple désagrément ».

Dan Black, analyste chez la firme de cybersécurité Mandiant suit les unités de hackers gouvernementaux russes, dont les fameux Sandworm ou APT44. Il explique : « Quand leurs objectifs de guerre ont évolué, nous avons vu le groupe évoluer aussi. Ce que nous observons, c'est un véritable changement d'activités destructives vers des activités d'espionnage en soutien aux opérations militaires ». Il y a quelques jours à peine, était observé un nouveau changement tactique, avec un focus des attaques sur les entités cruciales au soutien des opérations militaires ukrainiennes.

La firme Mandiant a également suivi l'apparition de groupes hacktivistes extra-gouvernementaux. Le réseau russe KillNet est le premier à faire parler de lui. Il pratique surtout des attaques par déni de service, inondant les cibles de trafic internet pour les rendre temporairement indisponibles. À plusieurs reprises, le groupe dédie ses attaques à des groupes de la scène ransomware, comme Revil et Conti, sans réelles preuves d'un lien. KillNet est parfois rejoint par des groupes plus efficaces, augmentant alors son efficacité.

Chez certains groupes, Mandiant observe également des connexions avec les unités de hackers des services russes. Ainsi, les données de plusieurs attaques attribuées à Sandworm ont fuité chez les groupes XakNet Team, Infoccentr, et CyberArmyofRussia_Reborn.

Plus récemment, les chercheurs observent une tendance plus inquiétante. Depuis début 2024, la CyberArmyofRussiaReborn a revendiqué plusieurs attaques sur des centres hydro-électriques aux États-Unis, en Pologne et en France. Jon Hultquist, de chez Mandiant, souligne que : « Même si le groupe opère sous ce personna lié à Sandworm, ils semblent plus téméraires et agressifs que n’importe quel opérateur russe que nous ayons jamais vu. » « S'il s'agit d'un groupe d'hacktivistes manquant de la structure et de la retenue d'une organisation militaire, ils pourraient dépasser des limites que personne n'anticipe. Créer un réel incident. _».

Suites aux attaques sur les barrages, un compte Twitter pro-ukrainien a publié un certain nombres de systèmes industriels accessibles en Russie : traitement de l'eau, centrales électriques, systèmes de gestion de l'essence. - @SpoogemanGhost
Suites aux attaques sur les barrages, un compte Twitter pro-ukrainien a publié un certain nombres de systèmes industriels accessibles en Russie : traitement de l'eau, centrales électriques, systèmes de gestion de l'essence. - @SpoogemanGhost

L'appel de l'Ukraine, le 26 février 2022, à la création d'une armée de spécialistes IT pour combattre dans le cyber-espace a eu son petit effet. Depuis le début de la guerre, le collectif d'OSINT Bellingcat a observé une « augmentation gigantesque » des fuites de document russes de la part de hackers pro-ukrainiens. La journaliste Emma Best, tête médiatique du collectif DDOSecrets a témoigné que pendant les six premiers mois de l'invasion, le collectif avait reçu plus de 12 millions de documents. Townsed, porte-parole de la Ukrainian Cyber Alliance témoigne : « Les hackers ukrainiens ont des données sur pratiquement tous les citoyens russes, qu'ils utilisent un ordinateur ou non ». Il faut dire que, comme un retour à l'envoyeur, les hackers ukrainiens sont familiers de la culture et des technologies russes. Et l'ancien tabou d'attaquer l'Internet russe n'a plus lieu d'être.

En octobre 2023, Hermit1, l'attaché de presse de l'Ukrainian Cyber Alliance, a utilisé une faille récemment publiée pour s'introduire sur l'infrastructure du groupe de ransomware Trigona avant de détruire entièrement leurs serveurs. Dans son interview de 2022, il concluait : « Les hackers russes sont devenus une sorte de marque, mais les hackers ukrainiens ne sont pas plus mauvais. La Russie va payer cher pour la guerre qu'elle a commencé ».

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée